802.1X 身份验证无线访问概述

适用对象：Windows Server 2012

本文档提供了有关 IEEE 802.11 无线访问的电子电气工程学会 (IEEE) 802.1X 身份验证访问的介绍性信息。 还提供了指向包含相关信息的资源的链接，此信息关于与 802.1X 身份验证无线访问紧密相关或与无线访问相关的技术。

是否就是…

• 802.1X 身份验证有线访问 

•  用于无线局域网 (WLAN) 的 Netsh 命令，位于 TechNet 上的 Windows Server 2008 R2 和 Windows Server 2008 技术库中。

• 802.1X 身份验证无线访问，位于 TechNet 上的 Windows Server 2008 R2 和 Windows Server 2008 技术库中。

功能描述

IEEE 802.1X 身份验证为你的内部网提供额外的安全屏障。你可以用它来防止身份验证失败的来宾、未授权或不受管理的计算机连接到你的内部网。

出于管理员为 IEEE 802.3 有线网络部署 IEEE 802.1X 身份验证的同样原因—加强安全—网络管理员希望实施 IEEE 802.1X 标准，以帮助保护他们的无线网络连接。 在被允许通过有线以太网 Intranet 发送帧之前，经过身份验证的有线客户端必须提交一组凭据进行验证。同样，IEEE 802.1X 无线客户端在通过其无线接入点 (AP) 端口以及网络发送流量之前，也必须进行身份验证。

重要术语和技术概述

以下是一些概述，可以帮助你了解部署 802.1X 身份验证无线访问所需要的各种技术。

IEEE 802.1X

IEEE 802.1X 标准定义了基于端口的网络访问控制，该访问控制用于向企业网络提供身份验证 WiFi 访问。 此基于端口的网络访问控制使用 802.1X 支持无线 AP 基础结构的特征，以对连接到 LAN 端口的设备进行身份验证。 如果身份验证过程失败，对端口的访问可能会被拒绝。 虽然此标准最初旨在用于有线以太网网络，但已对其进行了调整，以供在 802.11 无线 LAN 上使用。

支持 IEEE 802.1X 的有线以太网交换机

若要部署 802.1X 无线访问，你必须在你的网络上安装和配置一个或多个支持 802.1X 的无线 AP。 这些无线 AP 必须与远程身份验证拨入用户服务 (RADIUS) 协议兼容。

在 RADIUS 基础架构中部署符合 802.1X 和 RADIUS 的无线 AP 以及 RADIUS 服务器（如 NPS 服务器）时，它们被称为 RADIUS 客户端。

IEEE 802.11 无线

IEEE 802.11 是一系列标准，定义了 WiFi 访问的第 1 层（物理层）和第 2 层（数据链路层媒体访问控制 (MAC)）。

网络策略服务器

网络策略服务器 (NPS) 让你可以通过使用以下三种组件来集中地配置和管理网络策略：RADIUS 服务器、RADIUS 代理、和网络访问保护 (NAP) 代理服务器。 若要部署 802.1X 无线访问，需要使用 NPS。

服务器证书

WiFi 访问部署需要针对执行 802.1X 身份验证的每台 NPS 服务器使用服务器证书。

服务器证书是一种数字文件，通常用于身份验证和协助保护开放网络中的信息。 证书将公钥与持有相应私钥的实体牢固地绑定在一起。 证书由证书发证机构 (CA) 通过数字方式签署，可以颁发给用户、计算机或服务。

CA 是负责对属于主体（通常是用户或计算机）或其他 CA 的公钥的真实性进行建立和复核。 CA 的活动可能包括通过签署的证书将公共密钥绑定至可分辨名称、管理证书序列号以及调用证书。

Active Directory 证书服务 (AD CS) 是一种Windows Server 2012服务器角色，作为网络 CA 颁发证书。 AD CS 证书基础结构也称为公钥基础结构 (PKI)，为企业提供颁发和管理证书的自定义服务。

EAP

可扩展身份验证协议 (EAP) 通过启用额外的身份验证方法，对点对点协议 (PPP) 进行扩展。这些额外的身份验证方法使用任意长度的凭据和信息交换。 利用 EAP 身份验证，网络访问客户端和身份验证器（如 NPS 服务器）必须支持同一种 EAP 类型才能成功验证身份。

新功能和更改的功能

在 Windows Server 2012 中，WiFi 访问只包括对 Windows Server 2008 R2 中提供的有线访问解决方案的最低限度更改。 这些更改综述如下：

另请参阅

下面是与 802.1X 身份验证无线访问有关的其他资源。